画像: Google
Googleは今週から、Chromeブラウザに毎週セキュリティアップデートを配信します。これは、「パッチギャップ」、つまり脆弱性の発見から修正が公開されるまでの期間を解消するための、同社による更なる取り組みです。これにより、攻撃者は、発見されたばかりの脆弱性(いわゆるゼロデイ脆弱性)や既に知られている脆弱性(いわゆるnデイ脆弱性)を悪用する攻撃をより早期に阻止できるようになります。
Bleeping Computerが指摘したように、このスケジュール変更はGoogle Chrome 116のリリースと同時です。これまでGoogleはセキュリティパッチを隔週でリリースしていました。優先度の高い脆弱性への修正は引き続き即時リリースされ、毎週のリリースサイクルまで保留されることはありません。
Googleは、ChromeのベースとなるオープンソースプロジェクトであるChromiumの透明性を理由の一つとしている。ソースコードだけでなく、関連する議論や計画されているアップデートもすべて公開されている。より高度なハッカーは、これらの情報を利用して、悪用可能な脆弱性を見つけ出すことができる。
セキュリティパッチのリリース間隔が従来の平均15日から7日に短縮されたことで、攻撃者が活動できる時間的余裕は大幅に減少しました。しかし、Googleは新しいスケジュールを説明する発表の中で、アップデートの頻度を増やしてもパッチギャップの問題やNデイ攻撃の脅威は解決されず、むしろ減少するだけだと警告しています。同社が定期的なセキュリティアップデートのリリース間隔を最後に短縮したのは2020年で、当時のパッチギャップは平均35日でした。
この新しいセキュリティポリシーを最大限に活用するには、Chromeのアップデート通知を注意深く確認しましょう。新しいアップデートが利用可能になると、アプリの右上隅にボタンが表示されます。ボタンをクリックする前に、作業中のウィンドウやタブを保存し、パッチを適用してChromeを再起動してください。特にシークレットモードの場合は、ブラウザの再起動時にウィンドウやタブが保持されないため、この点にご注意ください。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
